2023年7月1日，新修訂的《商用密碼管理?xiàng)l例》（以下簡(jiǎn)稱《條例》）正式施行，條例規(guī)定“關(guān)鍵信息基礎(chǔ)設(shè)施通過(guò)商用密碼應(yīng)用安全性評(píng)估方可投入運(yùn)行，運(yùn)行后每年至少進(jìn)行一次評(píng)估”。作為關(guān)鍵信息基礎(chǔ)設(shè)施中主要行業(yè)之一，電力行業(yè)包含多種涉及國(guó)計(jì)民生的重要信息系統(tǒng)，建立完善商用密碼應(yīng)用安全性評(píng)估體系勢(shì)在必行。

近年來(lái)，國(guó)家陸續(xù)發(fā)布多項(xiàng)密碼建設(shè)相關(guān)的政策，《“十四五”現(xiàn)代能源體系規(guī)劃》提出加快推進(jìn)電力信息系統(tǒng)密碼基礎(chǔ)設(shè)施建設(shè)工程、《電力行業(yè)網(wǎng)絡(luò)安全等級(jí)保護(hù)管理辦法》規(guī)定電力企業(yè)應(yīng)當(dāng)按照國(guó)家有關(guān)規(guī)定開(kāi)展商用密碼應(yīng)用安全性評(píng)估和網(wǎng)絡(luò)安全審查等工作，未達(dá)到要求的應(yīng)當(dāng)及時(shí)進(jìn)行整改。電力行業(yè)開(kāi)展密評(píng)工作是應(yīng)對(duì)網(wǎng)絡(luò)安全嚴(yán)峻形勢(shì)的迫切需要，也是系統(tǒng)安全維護(hù)的必然要求。

根據(jù)電力行業(yè)實(shí)際需求，天融信以密碼技術(shù)應(yīng)用為基礎(chǔ)，將網(wǎng)絡(luò)安全融合商用密碼，通過(guò)天融信堡壘機(jī)、服務(wù)器密碼機(jī)、簽名驗(yàn)簽服務(wù)器等產(chǎn)品提供密碼應(yīng)用技術(shù)支撐，從物理與環(huán)境安全、網(wǎng)絡(luò)與通信安全、設(shè)備與計(jì)算安全、應(yīng)用與數(shù)據(jù)安全四個(gè)層面，助力電力行業(yè)客戶量身打造符合相關(guān)要求的密碼應(yīng)用體系，助力數(shù)字電力夯實(shí)安全底座。

1、物理與環(huán)境安全

對(duì)于機(jī)房等日常需要嚴(yán)格進(jìn)行身份核驗(yàn)的場(chǎng)所，常存在非授權(quán)人員進(jìn)入，以及相關(guān)進(jìn)出記錄、視頻監(jiān)控記錄明文傳輸?shù)膯?wèn)題。建議在重要系統(tǒng)所在機(jī)房部署符合 GM/T 0036-2014 標(biāo)準(zhǔn)要求的電子門(mén)禁系統(tǒng)，對(duì)進(jìn)出機(jī)房人員進(jìn)行身份鑒別。

同時(shí)，在機(jī)房環(huán)境監(jiān)控區(qū)部署服務(wù)器密碼機(jī)、國(guó)密音視頻監(jiān)控系統(tǒng)等，對(duì)電子門(mén)禁及視頻監(jiān)控系統(tǒng)的記錄數(shù)據(jù)，進(jìn)行傳輸機(jī)密性和存儲(chǔ)完整性保護(hù)。

2、網(wǎng)絡(luò)與通信安全

對(duì)于非授權(quán)設(shè)備接入內(nèi)部網(wǎng)絡(luò)、通信數(shù)據(jù)在信息系統(tǒng)外部被非授權(quán)獲取的問(wèn)題。建議在網(wǎng)絡(luò)接入?yún)^(qū)和下屬單位分別部署加密機(jī)，通過(guò)數(shù)字證書(shū)實(shí)現(xiàn)在通信前雙方的身份鑒別，同時(shí)建立安全的數(shù)據(jù)傳輸通道，對(duì)通信數(shù)據(jù)進(jìn)行完整性保護(hù)。

另外對(duì)于重要系統(tǒng)的移動(dòng)端App使用Http協(xié)議建立數(shù)據(jù)傳輸通道，未使用密碼技術(shù)建立安全的數(shù)據(jù)傳輸通道的問(wèn)題，建議在重要系統(tǒng)的移動(dòng)端App中部署移動(dòng)端密碼模塊，并在網(wǎng)絡(luò)接入?yún)^(qū)邊界部署符合密評(píng)相關(guān)標(biāo)準(zhǔn)要求加密安全網(wǎng)關(guān)，建立安全的移動(dòng)端App數(shù)據(jù)傳輸通道。

3、設(shè)備與計(jì)算安全

對(duì)于非授權(quán)人員登錄網(wǎng)絡(luò)內(nèi)設(shè)備、管理員遠(yuǎn)程登錄身份鑒別信息被非授權(quán)竊取、重要程序或文件被篡改以及設(shè)備日志記錄明文傳輸?shù)膯?wèn)題。建議在安全管理區(qū)域部署堡壘機(jī)，實(shí)現(xiàn)對(duì)設(shè)備層運(yùn)維資源的全面安全管控，并調(diào)用堡壘機(jī)內(nèi)置國(guó)密加密卡接口，實(shí)現(xiàn)對(duì)堡壘機(jī)運(yùn)維授權(quán)清單數(shù)據(jù)的加密校驗(yàn)；在業(yè)務(wù)辦公區(qū)電腦端部署國(guó)密安全瀏覽器，在堡壘機(jī)前部署加密機(jī)，并向系統(tǒng)管理員配發(fā)智能密碼鑰匙，對(duì)登錄堡壘機(jī)的用戶進(jìn)行身份鑒別，同時(shí)對(duì)管理員遠(yuǎn)程登錄的身份鑒別信息進(jìn)行傳輸機(jī)密性保護(hù)，解決非授權(quán)人員登錄設(shè)備、管理員遠(yuǎn)程登錄身份鑒別信息被非授權(quán)竊取的問(wèn)題。

此外，在重要系統(tǒng)的應(yīng)用服務(wù)區(qū)部署服務(wù)器密碼機(jī)，應(yīng)用服務(wù)器中所有重要程序或文件在生成時(shí)通過(guò)調(diào)用服務(wù)器密碼機(jī)進(jìn)行完整性保護(hù)，同時(shí)服務(wù)器密碼機(jī)可對(duì)應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器等設(shè)備的日志進(jìn)行完整性保護(hù)。

4、應(yīng)用與數(shù)據(jù)安全

對(duì)于應(yīng)用系統(tǒng)用戶非授權(quán)登錄，電力企業(yè)重要數(shù)據(jù)明文傳輸、存儲(chǔ)、未完整性保護(hù)，以及已部署的身份鑒別認(rèn)證系統(tǒng)的應(yīng)用用戶訪問(wèn)權(quán)限控制列表明文存儲(chǔ)、調(diào)用的問(wèn)題。

建議在應(yīng)用系統(tǒng)的移動(dòng)端App中部署移動(dòng)端密碼模塊、在網(wǎng)絡(luò)接入?yún)^(qū)邊界部署加密安全網(wǎng)關(guān)，同時(shí)部署數(shù)字證書(shū)認(rèn)證系統(tǒng)，通過(guò)數(shù)字證書(shū)認(rèn)證系統(tǒng)分別向移動(dòng)端密碼模塊、加密機(jī)、配置數(shù)字證書(shū)，實(shí)現(xiàn)移動(dòng)端登錄應(yīng)用用戶的安全身份鑒別，防止移動(dòng)端非授權(quán)人員登錄應(yīng)用系統(tǒng)；同時(shí)在系統(tǒng)業(yè)務(wù)辦公區(qū)電腦端部署國(guó)密安全瀏覽器，并向內(nèi)網(wǎng)用戶配發(fā)智能密碼鑰匙，在業(yè)務(wù)服務(wù)區(qū)部署加密機(jī)，實(shí)現(xiàn)對(duì) PC 端登錄用戶的安全身份鑒別。

另外，建議部署服務(wù)器密碼機(jī)，通過(guò)服務(wù)器密碼機(jī)對(duì)應(yīng)用系統(tǒng)中重要數(shù)據(jù)的存儲(chǔ)過(guò)程進(jìn)行機(jī)密性和完整性保護(hù)。并在系統(tǒng)網(wǎng)絡(luò)內(nèi)部署簽名驗(yàn)簽服務(wù)器，對(duì)電力企業(yè)的身份鑒別認(rèn)證系統(tǒng)應(yīng)用用戶訪問(wèn)權(quán)限控制列表進(jìn)行完整性保護(hù)，防止應(yīng)用資源被非授權(quán)用戶篡改。同時(shí)應(yīng)用服務(wù)器可通過(guò)調(diào)用簽名驗(yàn)簽服務(wù)器，對(duì)可能涉及法律責(zé)任認(rèn)定的數(shù)據(jù)原發(fā)操作信息進(jìn)行數(shù)字簽名。

作為網(wǎng)絡(luò)安全、大數(shù)據(jù)與云服務(wù)提供商，天融信持續(xù)深耕密碼安全領(lǐng)域，科學(xué)推動(dòng)商用密碼技術(shù)與新興技術(shù)的融合，形成了完整的商用密碼支撐體系，從產(chǎn)品、方案、服務(wù)三方面推動(dòng)密評(píng)建設(shè)落地。未來(lái)，天融信也將繼續(xù)深耕密碼安全領(lǐng)域，積極推動(dòng)密碼安全建設(shè)。